Contactez-nous
  1. Accueil
  2. /
  3. Blog
  4. /
  5. Gestion centralisée des utilisateurs Linux : OpenLDAP, SSSD et sudo

Administration
Sécurité

Gestion centralisée des utilisateurs Linux : OpenLDAP, SSSD et sudo

24 février 2025

4 min de lecture

Sommaire
Plan de l'article
Introduction et contexte
Installation et configuration d'OpenLDAP
Structuration de l'annuaire LDAP
Déploiement de SSSD sur les clients Linux
Intégration de LDAP dans SSSD
Configuration de sudo centralisé
Sécurisation : TLS, PAM et bonnes pratiques
Supervision et maintenance de l'annuaire
Gestion des groupes et des rôles
Haute disponibilité et réplication LDAP
Sauvegarde et restauration
Ressources complémentaires
Conclusion et perspectives
Authentification centralisée Linux LDAP SSSD sudo

Dès qu'un parc Linux dépasse quelques machines, gérer les comptes utilisateurs et les permissions vire au casse-tête. Ce guide couvre l'installation, la configuration, la sécurisation et la maintenance d'une solution centralisée basée sur OpenLDAP, SSSD et sudo.

Plan de l'article

  • Introduction et contexte
  • Installation et configuration d'OpenLDAP
  • Structuration de l'annuaire LDAP
  • Déploiement de SSSD sur les clients Linux
  • Intégration de LDAP dans SSSD
  • Configuration de sudo centralisé
  • Sécurisation : TLS, PAM, et bonnes pratiques
  • Supervision et maintenance de l'annuaire
  • Gestion des groupes et des rôles
  • Haute disponibilité et réplication LDAP
  • Sauvegarde et restauration
  • Conclusion et perspectives

Introduction et contexte

La multiplication des serveurs Linux rend la gestion locale des utilisateurs fastidieuse et sujette aux erreurs. Une solution LDAP centralisée apporte :

  • Un point unique de gestion des comptes
  • Des permissions homogènes sur tous les nœuds
  • Une traçabilité des accès avec sudo

Astuce : Planifiez la migration progressivement, en testant sur un groupe restreint avant déploiement global.

Installation et configuration d'OpenLDAP

1. Installation des paquets
sudo apt update
sudo apt install slapd ldap-utils
2. Configuration initiale
sudo dpkg-reconfigure slapd
  • Domaine : dc=example,dc=com
  • Mot de passe admin LDAP

Attention : Choisissez un mot de passe complexe pour l'administrateur LDAP.

Structuration de l'annuaire LDAP

1. Schéma d'exemple
dn: ou=users,dc=example,dc=com
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=example,dc=com
objectClass: organizationalUnit
ou: groups
2. Ajout d'utilisateurs
dn: uid=jdupont,ou=users,dc=example,dc=com
objectClass: inetOrgPerson
uid: jdupont
sn: Dupont
givenName: Jean
cn: Jean Dupont
userPassword: {SSHA}XXXXXXXXXXXXXX

Déploiement de SSSD sur les clients Linux

sudo apt install sssd libpam-sss libnss-sss
Configuration /etc/sssd/sssd.conf
[sssd]
domains = example.com
services = nss, pam

[domain/example.com]
id_provider = ldap
auth_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
sudo chmod 600 /etc/sssd/sssd.conf
sudo systemctl enable sssd --now

Intégration de LDAP dans SSSD

  • Test de résolution d'utilisateur :
    getent passwd jdupont
    
  • Test de group mapping :
    getent group sudo
    

Astuce : Activez enumerate = false pour éviter la surcharge du serveur LDAP.

Configuration de sudo centralisé

1. Schéma LDAP pour sudo
sudo apt install ldap-schema sudo-ldap
2. Ajout de règles sudo
dn: cn=admins,ou=groups,dc=example,dc=com
objectClass: top
objectClass: sudoRole
cn: admins
sudoUser: %admins
sudoHost: ALL
sudoCommand: ALL
3. Configuration PAM
sudo apt install libpam-ldapd

Attention : Vérifiez que /etc/nsswitch.conf contient sudoers: sss files.

Sécurisation : TLS, PAM et bonnes pratiques

  • Génération d'un certificat TLS pour LDAP
  • Configuration de ldap_tls_cacert et ldap_tls_reqcert
  • Durcissement PAM avec pam_faillock

Supervision et maintenance de l'annuaire

  • Surveillance des logs /var/log/syslog
  • Utilisation de ldapsearch pour vérifier l'intégrité
  • Mise en place d'un script de monitoring Nagios/Icinga

Gestion des groupes et des rôles

  • Modélisation des groupes LDAP pour refléter la structure de l'entreprise
  • Gestion dynamique via des scripts Ansible

Haute disponibilité et réplication LDAP

  • Configuration de la réplication syncrepl
  • Mise en place de deux serveurs LDAP en miroir

Sauvegarde et restauration

slapcat -b dc=example,dc=com > backup.ldif
sudo systemctl stop slapd
slapadd -l backup.ldif

Ressources complémentaires

  • Consultez l'installation OpenLDAP
  • Utilisez Keycloak pour le SSO

Conclusion et perspectives

La centralisation LDAP couplée à SSSD et sudo donne un socle solide pour gérer utilisateurs et permissions. En suivant ce guide, vous obtenez une infrastructure sécurisée, simple à administrer et capable de monter en charge.

Besoin d'aide sur ce sujet ?

Notre équipe d'experts est là pour vous accompagner dans vos projets d'infrastructure et d'infogérance.

Contactez-nous

Articles similaires

AIDE : intégrité des fichiers Linux contre rootkits et compromissions
Sécurité
Linux
Administration

AIDE : intégrité des fichiers Linux contre rootkits et compromissions

Configurer AIDE pour détecter modifications fichiers système, baseline, comparaisons, intégration cron et alerting. Outil d'intégrité Linux historique, toujours utilisé en production.

14 juin 2026

Lire plus

auditd et ausearch : audit kernel Linux pour la conformité
Sécurité
Linux
Administration

auditd et ausearch : audit kernel Linux pour la conformité

Configurer auditd, écrire des règles audit, requêter avec ausearch et aureport. Audit syscalls et fichiers, intégration SIEM, conformité PCI/CIS, retours ops.

13 juin 2026

Lire plus

systemd-cryptenroll et TPM2 : déchiffrement automatique LUKS
Sécurité
Linux
Administration

systemd-cryptenroll et TPM2 : déchiffrement automatique LUKS

Lier une partition LUKS au TPM2 de la machine avec systemd-cryptenroll. Déchiffrement automatique au boot, attestation Secure Boot, sealing PCR, retours ops.

8 juin 2026

Lire plus


SHPV, votre partenaire de confiance en infrastructure et infogérance informatique en France.

SHPV
Contactez-nousNous contacter
Expertise
InfrastructureDatacenterInfogéranceCloudHébergementTransit IP
Légales
Conditions Générales de VenteCPS - Contrat de ServicesCPS - Hébergement CloudCPS - Microsoft 365Accord sous-traitance RGPDTarifs interventions

SHPV © 2026 - Tous droits réservés

Mentions légalesPolitiques de confidentialité
SHPV FRANCE - SAS au capital de 16 000 € - 52 Rue Romain Rolland, 71230 Saint-Vallier - SIRET n°80886287400035 - R.C.S. Chalon-sur-Saône. Par téléphone 09 72 310 818 - Email: support@shpv.fr